Hello,

Das heißt solange der Hoster sich nicht auskennt und alles sicher eingestellt hat kann man als VPS-Mieter die Sicherheit auch nicht selbst gewährleisten mit aktuellstem PHP. Oder geht das irgendwie mit Verzeichnisrechten?

Ein virtual Server sollte gegenüber einem anderen virtual Server eigentlich sicher sein. Das sit der Sinn der Sache. Und wenn Du dann auf diesem virtual Hosts einrichtest, für Die Du dann PHP (als Modul) verwendest, dann solltest Du die gegeneinander auch abgrenzen können. Voraussetzung ist dann aber, dass Du alle Shellbefehle ausschaltest, alle Session-, Temporär- und Logverzeichnisse trennst und dies in open_basedir für jeden Virtual Host entsprechend berücksichtigst.

Alle PHP-internen Verzeichnisbefehle halten sich an die Angaben in open_basedir.
Konsolenzugang kannst Du deinen Usern dann nicht gewähren.

Wenn Du PHP als CGI/FastCGI einrichtest, gelten wieder andere Regeln. Dort fängst Du mit der Einrichtung einer Ch-Root-Umgebung an. Wenn die funktioniert, können die Bentuzer auch begrenzten Konsolenzugang haben - was aber immer mal wieder zu der Überraschung führt, dass jemand doch eine Möglichkeit findet, aus dem "Jail" auszubrechen.

Die Fehler des Hosters kannst Du aber nicht selber ausbügeln.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg